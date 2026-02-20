En quelques jours d'intervalle, deux affaires ont sévèrement fragilisé la confiance dans les systèmes de vérification d'identité en ligne, en ce mois de février 2026. D'un côté, IDMerit, prestataire KYC américain, a laissé un milliard de fiches personnelles sans aucune protection sur Internet ; de l'autre, Persona, le logiciel de Discord, a été démasqué comme un outil bien plus intrusif qu'annoncé...

Deux affaires d'exposition de données en quelques jours

Des données d'identité censées rester entre les mains de services de confiance, exposées sans protection sur Internet ou via des vérifications d'âge sur une application de messagerie… La semaine du 17 février 2026 n'a pas été tendre pour le secteur de la vérification d'identité en ligne. Deux affaires distinctes, révélées en quelques jours, ont mis en évidence les failles du secteur possédant les données les plus sensibles qui soient.

En novembre 2025, les chercheurs de Cybernews découvraient une instance MongoDB appartenant à IDMerit (un prestataire KYC américain travaillant avec des banques, des fintechs et des plateformes crypto) accessible en libre accès sur Internet, sans aucune authentification. L'information vient juste d'être rendue publique.

La base pèse près d'un téraoctet et contient environ 3 milliards d'enregistrements, dont un milliard de fiches personnelles sensibles : noms complets, adresses postales, dates de naissance, numéros d'identification nationaux, numéros de téléphone, adresses e-mail et profils de réseaux sociaux.

La fuite touche des individus répartis dans 26 pays : les États-Unis arrivent en tête (203 millions d'enregistrements), devant le Mexique (124 millions) et les Philippines (72 millions). En Europe, l'Allemagne, l'Italie et la France comptent chacune plus de 50 millions de fiches exposées. Fait aggravant, la base comprend un identifiant indiquant si certaines données proviennent elles-mêmes de fuites antérieures — signe qu'IDMerit aurait croisé ses données KYC avec des bases déjà compromises pour enrichir les profils en sa possession. Alertée par les chercheurs le lendemain, la société a sécurisé la base.

Persona : la surveillance cachée derrière la vérification d'âge de Discord

Cette affaire n'est pas sans en rappeler une autre survenue quelques jours auparavant. Rappelez-vous, début février 2026, Discord annonçait le déploiement mondial de ses paramètres « par défaut pour les ados », forçant certains utilisateurs à scanner leur visage pour accéder aux espaces adultes. Pour cette vérification, Discord a retenu Persona, une startup américaine.

Mais trois chercheurs en sécurité ont fouillé le code de l'application pour tenter de le contourner, et ont découvert bien plus que prévu : un frontend de Persona accessible en clair sur Internet, hébergé sur un serveur autorisé par le gouvernement américain.

Les 2 456 fichiers exposés montrent que le logiciel va bien au-delà de la simple estimation d'un âge. Il effectue 269 contrôles distincts par utilisateur, compare les selfies à des photos de listes de surveillance, consulte Chainalysis et TRM Labs pour détecter une activité financière suspecte, notamment de cryptomonnaie, et peut transmettre des déclarations de transactions suspectes directement aux autorités fédérales américaines et canadiennes.

Adresses IP, empreintes de navigateur, numéros d'identité gouvernementaux : tout est analysé et conservé jusqu'à trois ans. Persona équipe aussi OpenAI et Roblox. Face à la polémique, Discord a finalement renoncé au logiciel.

